Nawigacja w nowej erze egzekwowania cyberbezpieczeństwa

Nawigacja w nowej erze egzekwowania cyberbezpieczeństwa

Znacznik czasu: 4 stycznia 2024 10:00
Węzeł źródłowy: 3046344

KOMENTARZ

30 października 2023 r. Komisja Papierów Wartościowych i Giełd (SEC) wstrząsnęła założeniami liderów bezpieczeństwa w różnych branżach, gdy złożył przełomowy pozew przed SolarWinds i jego dyrektor ds. bezpieczeństwa informacji (CISO). Wielu utożsamia to posunięcie z wybuchem bomby wobec osób pracujących na stanowisku CISO. Jest to także pierwszy raz, kiedy w pozwie SEC wezwano w ten sposób osobę z firmy.

Czy w związku z rozwojem sprawy rozumiesz swoją osobistą odpowiedzialność jako CISO? Jedno jest jasne: ta sprawa wysyła wiadomość. CISO stoją obecnie w obliczu bezprecedensowego potencjalnego ryzyka związanego z odpowiedzialnością, co powoduje potrzebę proaktywnego podejścia do zagrożeń prawnych dla kadry kierowniczej ds. bezpieczeństwa. Aby rzucić światło na tę złożoną kwestię, zgromadziliśmy w dyskusji panelowej ponad 60 CISO, byłych członków SEC i ekspertów prawnych. Przy rekrutacji panelistów do dyskusji na ten ważny temat kluczowe znaczenie miała wiedza i wiarygodność. Nasz cel był prosty: zapewnić społeczności CISO wiarygodne wskazówki i przejrzystość w zakresie zarządzania odpowiedzialnością.

Panel szczegółowo przeanalizował sprawę SolarWinds, zauważając, że SEC wydaje się skupiać na zaniedbaniach, a nie na rażących oszustwach. Chociaż obudowa jest przedstawiana jako agresywna, substancja może nie być tak wytrzymała. Eksperci sugerują, aby CISO potraktowali tę sprawę jako sygnał alarmowy, podkreślając potrzebę podjęcia proaktywnych środków i podejścia do cyberbezpieczeństwa w dobrej wierze.

Spostrzeżenia zebrane podczas tej dyskusji stanowią plan działania dla CISO, który pomoże im odnaleźć się w nowej erze egzekwowania cyberbezpieczeństwa. Oto kilka najważniejszych rad, których dowiedzieliśmy się z panelu.

Buduj silne sojusze z radcą prawnym

Jednym z pierwszych – i być może najbardziej krytycznym – wniosków z dyskusji panelowej jest znaczenie budowania silnych relacji przez CISO z radcą prawnym (GC). Zdaniem ekspertów GC może być kluczowym sojusznikiem w czasach kryzysu, zapewniając cenne wskazówki i wsparcie prawne. W następstwie sprawy SolarWinds zaleca się CISO, aby aktywnie współdziałali ze swoimi GC, zapewniając opartą na współpracy i dobrze przygotowaną reakcję na potencjalne wyzwania prawne.

Nawiąż kontakty z FBI

Kolejną istotną radą panelu jest jak najszybsze nawiązanie kontaktu z lokalnym biurem terenowym FBI. Przedstawiciel FBI biorący udział w dyskusji podkreślił znaczenie istniejących wcześniej relacji z FBI. Posiadanie kontaktu w FBI może okazać się pomocne w radzeniu sobie z sytuacjami podobnymi do przypadku SolarWinds. Zdaniem przedstawiciela FBI panelu, wszystko zależy od czynnika zaufania. Zauważyli również, że FBI postrzega firmy znajdujące się w takich sytuacjach jak ofiary, dlatego też CISO zachęca się do nawiązywania relacji z lokalnym biurem terenowym FBI na długo przed wystąpieniem kryzysu.

Zachowaj ostrożność w przestrzeganiu standardów

Panel podkreślił również znaczenie dostosowania praktyk w zakresie cyberbezpieczeństwa do obiektywnych standardów, takich jak te określone przez Narodowy Instytut Standardów i Technologii (NIST). SEC, jak pokazała sprawa SolarWinds, może żądać przedstawienia dowodu przestrzegania tych standardów. „Za każdym razem, gdy dostosowujesz się do obiektywnego standardu, takiego jak NIST, SEC będzie chciała na to dowodu” – zauważył jeden z naszych przedstawicieli SEC. Jeśli więc masz zamiar publicznie ogłosić, że stosujesz zestaw standardów, upewnij się również, że przestrzegasz wybranych standardów. CISO muszą prowadzić dokładną dokumentację, aby w razie potrzeby przedstawić dowody.

Koordynowanie doradców prawnych i dochodzeń wewnętrznych

Jeśli chodzi o radcę prawnego, kwestia tego, czy CISO potrzebuje własnego doradcy, spotkała się z różnymi opiniami panelu. Co zatem ma zrobić CISO? Panel zgodził się, że prawdopodobnie potrzebny będzie osobisty prawnik, zwłaszcza podczas wywiadów z SEC lub Departamentem Sprawiedliwości (DOJ). Mądrym posunięciem może być także posiadanie zastępstwa prawnego podczas dochodzeń wewnętrznych i kontaktów z wewnętrznym doradcą prawnym.

Rozważ ubezpieczenie D&O

Zrozumienie i inwestowanie w ubezpieczenia dyrektorów i urzędników (D&O) było kolejnym kluczowym aspektem podkreślonym przez panel. W obliczu potencjalnych działań prawnych posiadanie ubezpieczenia D&O może zapewnić ochronę finansową CISO. Eksperci zalecają zapoznanie się z zakresem ubezpieczenia, sprawdzenie istniejących roszczeń, a nawet rozważenie samodzielnego ubezpieczenia w celu zapewnienia dodatkowej ochrony.

Przyjmij trzy filary: wyrównaj, wyjaśnij, eskaluj

W nowej erze wzmożonego egzekwowania zasad cyberbezpieczeństwa zaleca się CISO przestrzeganie trzech kluczowych filarów: ujednolicanie, wyjaśnianie i eskalacja. Dostosuj praktyki cyberbezpieczeństwa do uznanych standardów, wyjaśnij komunikację z kontaktami prawnymi i FBI oraz eskaluj problemy w górę hierarchii dowodzenia. Filary te stanowią podstawę proaktywnego i ochronnego podejścia do zmieniających się wyzwań stojących przed osobami zarządzającymi cyberbezpieczeństwem.

CISO muszą już teraz podjąć proaktywne działania

Pozew SolarWinds SEC naświetlił potencjalne ryzyko, na jakie narażeni są dyrektorzy ds. cyberbezpieczeństwa. Wzywa się CISO do podjęcia proaktywnych działań w celu ochrony przed narażeniem prawnym. Budowanie silnych sojuszy z radcą prawnym, nawiązywanie powiązań z FBI, przestrzeganie standardów cyberbezpieczeństwa, uzyskiwanie ubezpieczenia D&O oraz stosowanie trzech filarów: dostosowania, wyjaśniania i eskalacji to kluczowe kroki w radzeniu sobie z wyzwaniami nowej ery egzekwowania cyberbezpieczeństwa. Ponieważ sytuacja stale ewoluuje, CISO muszą zachować czujność i być dobrze przygotowani, aby zapewnić bezpieczeństwo swoim organizacjom i chronić swoją pozycję zawodową.

Znak czasu:

Więcej z Mroczne czytanie